Sichere Ergebnisermittlung
Der Kanton St.Gallen hat ein neues Ergebnisermittlungssystem für Wahlen und Abstimmungen beschafft. Getreu dem Prinzip «Sicherheit durch Transparenz» wurde dessen Quellcode offengelegt, damit Expertinnen und Experten das System auf Herz und Nieren prüfen konnten.
Die Einführung des neuen Ergebnisermittlungssystems bildete im Bereich der politischen Rechte einen der Schwerpunkte des Jahres 2022. Die Staatskanzlei leistet damit einen Beitrag zur Erreichung des Schwerpunktziels «digitalen Wandel gestalten».
Bereits im Februar und im März 2022 wurden die Wahl- und Abstimmungsverantwortlichen aller politischen Gemeinden in der Handhabung des neuen Systems geschult. Am 15. Mai 2022 wurde es zu Testzwecken im Rahmen eines Parallelbetriebs mit dem bisher verwendeten Ergebnisermittlungssystem erstmals eingesetzt.
Anschliessend erfolgte die stufenweise Offenlegung des Quellcodes des neuen Systems. Ab Ende Mai konnten rund 180 ausgewählte Sicherheitsforscherinnen und -forscher auf eine Vorabversion des neuen Ergebnisermittlungssystems zugreifen und Angriffsversuche starten. Dank der Meldungen dieser «ethischen Hackerinnen und Hacker» konnte das System laufend verbessert werden.
Mit der Offenlegung des Quellcodes des Ergebnisermittlungssystems und der Einladung an Sicherheitsforscherinnen und Sicherheitsforscher, den Code und das System kritisch zu prüfen, unterstreichen die Kantone St.Gallen und Thurgau die hohen Sicherheitsanforderungen.
Ab Mitte August wurde das Programm dann in ein öffentliches Bug-Bounty-Programm überführt. Das bedeutet, dass alle interessierten Expertinnen und Experten ohne Anmeldung den Code und die Dokumentation einer Vorabversion des Systems analysieren konnten. Jede Meldung einer bestätigten Sicherheitsschwachstelle wurde belohnt.
Anzahl bestätigter Findings im Rahmen des Bug-Bounty-Programms
Bis Ende Jahr sind 60 Meldungen eingegangen, wovon 20 als bestätigte Findings akzeptiert und mit Prämien von insgesamt 19'600 Franken entschädigt wurden. Die Behebung der Schwachstellen wurde umgehend angegangen und das neue Ergebnisermittlungssystem konnte dadurch noch sicherer gemacht werden. Am 12. März 2023 wird es zum ersten Mal produktiv eingesetzt – zur Ermittlung der Ergebnisse der Wahl der Nachfolgerin von Ständerat Paul Rechsteiner.